Questa pagina è stata tradotta dall'API Cloud Translation.

Esegui l'autenticazione in Pub/Sub

Questo documento descrive come eseguire l'autenticazione in Pub/Sub in modo programmatico. Come che esegui l'autenticazione in Pub/Sub dipende dall'interfaccia che usi per accedere all'API e l'ambiente in cui viene eseguito il codice.

Nota: Pub/Sub non supporta le chiavi API come metodo di autenticazione.

Per ulteriori informazioni sull'autenticazione di Google Cloud, consulta la panoramica dell'autenticazione.

Accesso API

Pub/Sub supporta l'accesso programmatico. Puoi accedere all'API in nei seguenti modi:

Librerie client
Google Cloud CLI
RESTO

Librerie client

Le librerie client Pub/Sub forniscono supporto per i linguaggi di alto livello per l'autenticazione a Pub/Sub in modo programmatico. Per autenticare le chiamate alle API Google Cloud, le librerie client supportano Credenziali predefinite dell'applicazione (ADC); le librerie cercano le credenziali in una serie di posizioni definite e le utilizzano per autenticare le richieste all'API. Con ADC, puoi rendere disponibili le credenziali per la tua applicazione in diversi ambienti, ad esempio di sviluppo locale o di produzione, senza dover modificare il codice dell'applicazione.

Google Cloud CLI

Quando utilizzi l'interfaccia a riga di comando gcloud per accedere a Pub/Sub, accedi all'interfaccia a riga di comando gcloud con un account dell'utente, che fornisce le credenziali utilizzate dai comandi dell'interfaccia a riga di comando gcloud.

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di disporre delle autorizzazioni richieste, puoi utilizzare la sostituzione dell'identità dell'account di servizio.

Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di gcloud CLI. Per saperne di più sull'utilizzo di gcloud CLI con Pub/Sub, consulta le pagine di riferimento di gcloud CLI.

REST

Puoi autenticarti l'API Pub/Sub con le credenziali gcloud CLI Credenziali predefinite dell'applicazione. Per ulteriori informazioni sull'autenticazione per le richieste REST, consulta Eseguire l'autenticazione per l'utilizzo di REST. Per informazioni sui tipi di credenziali, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.

Credenziali utente e ADC per Pub/Sub

Un modo per fornire le credenziali ad ADC è utilizzare gcloud CLI per inserire le credenziali utente in un file di credenziali. Questo file viene inserito nel file system locale dove può trovarlo ADC, che utilizza poi le credenziali utente fornite per autenticare le richieste. Questo metodo viene spesso utilizzato per lo sviluppo locale.

Se utilizzi questo metodo, potresti riscontrare un errore di autenticazione quando provi ad autenticarti in Pub/Sub. Per ulteriori informazioni su questo errore e su come per risolvere il problema, vedi Le credenziali utente non funzionano.

Configura l'autenticazione per Pub/Sub

La modalità di configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono le più utilizzate. Per altre opzioni e informazioni sull'autenticazione, consulta Metodi di autenticazione.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

Credenziali utente per librerie client o strumenti di terze parti
Credenziali utente per le richieste REST dalla riga di comando

Librerie client o strumenti di terze parti

Configura Credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
If you're using a local shell, then create local authentication credentials for your user account:
```
gcloud auth application-default login
```
You don't need to do this if you're using Cloud Shell.
Note: If the gcloud CLI prints a warning that your account doesn't have the serviceusage.services.use permission, then some gcloud CLI commands and client libraries might not work. Ask an administrator to grant you the Service Usage Consumer IAM role (roles/serviceusage.serviceUsageConsumer), then run the following command:
```
gcloud auth application-default set-quota-project PROJECT_ID
```
Viene visualizzata una schermata di accesso. Dopo l'accesso, le credenziali vengono memorizzate nel file delle credenziali locali utilizzato da ADC.

Per ulteriori informazioni sull'utilizzo di ADC in un ambiente locale, vedi Ambiente di sviluppo locale.

Richieste REST dalla riga di comando

Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le tue credenziali della CLI gcloud includendo gcloud auth print-access-token nel comando che invia la richiesta.

L'esempio seguente elenca gli account di servizio per il progetto specificato. Puoi utilizzare lo lo stesso pattern per qualsiasi richiesta REST.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud.

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Per ulteriori informazioni sull'autenticazione mediante REST e gRPC, consulta Esegui l'autenticazione per l'utilizzo di REST. Per informazioni sulla differenza tra le credenziali ADC locali e le credenziali di gcloud CLI, vedi Credenziali di gcloud CLI e credenziali ADC.

Su Google Cloud

Per autenticare un carico di lavoro in esecuzione su Google Cloud, utilizza le credenziali dell'account di servizio associato alla risorsa di calcolo in cui viene eseguito il codice, ad esempio un' istanza di macchina virtuale (VM) Compute Engine. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su un risorsa di computing di Google Cloud.

Per la maggior parte dei servizi, devi collegare l'account di servizio quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire l'account di servizio in un secondo momento. Compute Engine è un'eccezione: consente di collegare un servizio a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un account di servizio e collegarlo al tuo risorsa:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Set up authentication:
1. Create the service account:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Replace SERVICE_ACCOUNT_NAME with a name for the service account.
2. To provide access to your project and your resources, grant a role to the service account:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - ROLE: the role to grant
  Note: The --role flag affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
3. To grant another role to the service account, run the command as you did in the previous step.
4. Grant the required role to the principal that will attach the service account to other resources.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - USER_EMAIL: the email address for a Google Account
Crea la risorsa in cui verrà eseguito il codice e collega l'account di servizio a questa risorsa. Ad esempio, se utilizzi Compute Engine:
Create a Compute Engine instance. Configure the instance as follows:
- Sostituisci INSTANCE_NAME con il tuo preferito del nome dell'istanza.
- Imposta il flag --zone su zona in cui creare per l'istanza.
- Imposta il flag --service-account sull'indirizzo email dell'account di servizio che hai creato.

Per ulteriori informazioni sull'autenticazione nelle API di Google, vedi Metodi di autenticazione.

On-premise o su un altro provider cloud

Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per ulteriori informazioni, vedi On-premise o un altro cloud provider nella documentazione sull'autenticazione.

Controllo dell'accesso per Pub/Sub

Dopo aver eseguito l'autenticazione in Pub/Sub, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud. Pub/Sub utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per ulteriori informazioni sui ruoli per Pub/Sub, consulta Controllo dell'accesso con IAM. Per ulteriori informazioni su IAM e autorizzazione, consulta Panoramica IAM.

Passaggi successivi

Scopri di più sugli ambiti OAuth 2.0 di Pub/Sub.
Scopri di più sui metodi di autenticazione di Google Cloud.
Consulta un elenco di casi d'uso dell'autenticazione.